...
Самым безопасным вариантом хранения контейнера с сертификатом и ключом электронной подписи (ЭП) является ключевой носитель, защищенном PIN-кодом. Такие носители существуют в двух более распространенных форм-факторах: USB-токен и смарт-карта.
...
- Пассивный. Контейнер генерируется через программный криптопровайдер КриптоПро CSP. В таком режиме ключ хранится только контейнер с ключом ЭП и сертификатом хранится на токене или смарт-карте и передается криптопровайдеру, работающему в операционной системе, который уже решает, что с ним делать. Такой ключ контейнер будет неэкспортируемым, если при его создании будут выполнены специальные настройки. Если ключ контейнер будет создан как экспортируемый, то его можно скопировать на другой носитель. В данном случае ключ является извлекаемым
Данный режим создает извлекаемые ключи. Активный. Контейнер генерируется при помощи внутреннего криптоядра Рутокена семейства ЭЦП, с использованием библиотеки PKCS#11. В таком режиме ключ контейнер тоже хранится на токене или смарт-карте. Отличие в том, что пользователь может получить от этого носителя результат выполнения криптографических операций с использованием хранимого на устройстве закрытого ключа, поэтому такие ключи нельзя украсть или скопировать. В данном случае ключ является неизвлекаемым.
Активные носители имеют возможность хранить ключ контейнеры в извлекаемом виде, но это значительно понижает пассивном режиме, что снижает безопасность ключа.Info Этот режим не всегда активен, дополнительная настройка может потребоваться в следующих случаях:
- Если на компьютере с ОС Windows установлен комплект драйверов Рутокен и выполняется обновление КриптоПро CSP до версии 5.0 R2.
- Если на компьютерах с ОС Linux или macOS выполняется установка КриптоПро CSP, то необходимо после ее реализации установить библиотеку rtpkcs11ecp.
Если на компьютере с ОС Windows установлен комплект драйверов Рутокен и выполняется первичная установка КриптоПро CSP 5.0 R2, то все необходимые настройки выполнятся автоматически.- Функциональный ключевой носитель (ФКН). В таком режиме добавлена поддержка работы с неизвлекаемыми ключами по протоколу SESPAKE. Этот протокол позволяет реализовать процесс аутентификации не передавая PIN-код в открытом виде. Также SESPAKE позволяет установить шифрованный канал для обмена сообщениями между криптопровайдером и носителем.
Устройства типа ФКН можно использовать как устройства типа Активный и Пассивный.
...
На пересечении строки с названием модели Рутокена и строки с версией КриптоПро CSP указаны режимы работы носителя. Если ячейка пустая, то поддержка данной модели в этой версии КриптоПро CSP не реализована.
| Модель Рутокена | Версия КриптоПро CSP | |||
| 4.0 | 5.0 | 5.0 R2 | ||
| Рутокен 2151 | Пассивный | Пассивный/Активный | Пассивный/Активный | |
| Рутокен S | Пассивный | Пассивный | Пассивный | |
| Рутокен Lite | Пассивный | Пассивный | Пассивный | |
| Рутокен ЭЦП PKI | Пассивный/Активный | Пассивный/Активный | ||
| Рутокен ЭЦП | Пассивный | Пассивный/Активный | Пассивный/Активный | |
| Рутокен ЭЦП 2.0 | Пассивный | Пассивный/Активный | Пассивный/Активный | |
| Рутокен ЭЦП 2.0 Touch | Пассивный | Пассивный/Активный | Пассивный/Активный | |
| Рутокен ЭЦП 2.0 2100 | Пассивный | Пассивный/Активный | Пассивный/Активный | |
| Рутокен ЭЦП 2.0 3000 | Пассивный | Пассивный/Активный/ФКН | Пассивный/Активный/ФКН | |
| Рутокен ЭЦП Bluetooth | Пассивный | Пассивный/Активный | Пассивный/Активный | |
| Рутокен ЭЦП 2.0 Flash | Пассивный | Пассивный/Активный | Пассивный/Активный | |
| Смарт-карта Рутокен 2151 | Пассивный | Пассивный/Активный | Пассивный/Активный | |
| Смарт-карта Рутокен ЭЦП 2.0 2100 | Пассивный | Пассивный/Активный | Пассивный/Активный | |
| Смарт-карта Рутокен ЭЦП 3.0 NFC | Канал NFC | ФКН | ||
Контактный считыватель | Пассивный/Активный/ФКН | |||
Носители в режиме Активный появились в КриптоПро CSP начиная с версии 5.0.
...